推进密码应用的形势和要求

推进密码应用的形势和要求推进密码应用的形势和要求省密码管理局高志雄省密码管理局高志雄2020年4月17日目录CONTENTS二二一一介绍《密码法》基本内容五五四四三三商用密码应用情况简介国家关于密码应用的规划、部署密码应用的一些基本概念推进密码应用的基本要求一一介绍《密码法》基本内容1.《主席令》1.《主席令》中华人民共和国主席令第三十五号《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,现予公布，自2020年1月1日起施行。中华人民共和国主席习近平2019年10月26日2.为什么要制定《密码法》?2.为什么要制定《密码法》?立法的重要性和必要性：密码是国家的重要战略资源，密码工作是党和国家的一项特殊重要工作，直接关系国家政治安全、经济安全、国防安全和信息安全，在我国革命、建设、改革各个历史时期，都发挥了不可替代的作用。进入新时代，密码工作面临着许多的机遇和挑战，担负着更加繁重的保障和管理任务，制定一部密码领域的综合性、基础性法律，十分必要。立法的原则和基础：第一，坚持党管密码和依法管理相统一第二，坚持创新发展和确保安全相统一第三，坚持简政放权和加强监管相统一3.《密码法》立法内涵3.《密码法》立法内涵《密码法》是对党管密码根本原则的坚决贯彻，是适应国家安全新形势和密码应用新挑战的时代需求。《密码法》是总体国家安全观框架下，国家安全法律体系的重要组成部分。《密码法》是为了切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。《密码法》是为了规范密码应用和管理，提升密码工作的科学化、法治化、规范化水平。《密码法》对使用密码维护网络与信息安全提出了明确要求，组织和个人均要承担法律责任。共五章44条4.《密码法》(框架内容）4.《密码法》(框架内容）总则第一章规定了本法的立法目的、密码工作的基本原则、领导和管理体制，以及密码发展促进和保障措施。核心密码、普通密码第二章规定了核心密码、普通密码的使用要求、安全管理制度,以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。商用密码第三章规定了商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。法律责任第四章规定了违反本法相关规定应当承担的相应的法律后果。附则第五章规定了国家密码管理部门的规章制定权，解放军和武警部队密码立法事宜,以及本法的施行日期。第一章总则：本法的立法目的5.《密码法》(内容解读）5.《密码法》(内容解读）1为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。（第一条）第一章总则：密码的定义2本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。（第二条）第一章总则：密码工作的基本原则3密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。（第三条）第一章总则：密码工作的领导管理《密码法》内容解读……《密码法》内容解读……4坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。（第四条）国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。（第五条）国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。（第五条）第一章总则：密码分类管理体制《密码法》内容解读……《密码法》内容解读……5国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。（第六条）核心密码、普通密码用于保护国家秘密信息，属于国家秘密。（第七条）(主要用于党政机关内部，但也要纳入法律管理范畴。)商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。（第八条）(面向全社会，保护非涉密领域的个人信息、单位内部信息/敏感信息等。)第一章总则：密码发展和保障《密码法》内容解读……《密码法》内容解读……6一是强调国家鼓励和支持密码科研和应用，加强密码人才培养和队伍建设。（第九条）二是强调国家加强密码教育培训。（第十条）三是要求县级以上人民政府将密码工作纳入规划并保障财政预算。（第十一条）四是规定不得窃取加密信息，不得非法侵入密码保障系统，不得利用密码从事违法犯罪活动。(第十二条)第二章：核心密码、普通密码《密码法》内容解读……《密码法》内容解读……7一是强调国家加强核心密码、普通密码的规划、管理、使用、制度、保障能力。(第十三条)二是规定传递涉密信息以及涉密信息系统要使用核心密码、普通密码保护。(第十四条)三是定义了密码工作机构，并明确对密码工作机构的要求。（第十五条）四是明确密码管理部门依法对密码工作机构进行指导、监督和检查。(第十六条)五是规定密码管理部门和密码工作机构的工作机制、协作机制。(第十七条)六是强调国家加强密码工作机构建设，要并建立相应的管理制度。(第十八条)七是赋予密码管理部门依据国家有关规定提请相关部门协助的职能。(第十九条)八是规定密码管理部门和密码工作机构要建立健全监督、安全审查制度。(第二十条)第三章：商用密码《密码法》内容解读……《密码法》内容解读……8一是强调国家鼓励和促进商用密码产业发展，依法平等对待各类单位。(第二十一条)二是强调国家建立和完善商用密码标准体系，推动参与商用密码国际标准化活动。（第二十二、第二十三条）三是明确对商用密码从业单位的要求。（第二十四条）四是明确国家推进商用密码检测认证体系建设的要求。(第二十五条)五是明确重要领域的商用密码在销售或提供服务时的要求。(第二十六条)六是明确关键信息基础设施的运营者使用商用密码的要求。(第二十七条)七是明确商用密码进口许可、出口管制的管理要求。(第二十八条)八是明确商用密码用于电子政务电子认证的管理要求。(第二十九条)九是明确对商用密码行业协会等组织的管理要求。(第三十条)十是明确商用密码的事中事后监管制度，以及管理中的保密要求。(第三十一条)第四章：法律责任《密码法》内容解读……《密码法》内容解读……9一是明确从事密码违法活动要被追究法律责任。(第三十二条)二是明确“未按要求使用核心密码、普通密码”的处罚办法。（第三十三条）三是明确“发生泄密，或发现泄密、重大问题、风险隐患未应对未报告”的处罚办法。（第三十四条）四是明确“未按要求开展商用密码检测认证”的处罚办法。(第三十五条)五是明确“未按要求销售或提供产品或服务”的处罚办法。(第三十六条)六是明确对关键信息基础设施的运营者违反规定的处罚办法。(第三十七条)七是明确违反规定进出口商用密码的处罚办法。(第三十八条)八是明确“未经认定从事电子政务电子认证服务”的处罚办法。(第三十九条)九是明确密码管理部门和相关部门、单位的工作人员，违反本法规定的处罚办法。(第四十条)十是强调如果违反本法，将构成的刑事或民事责任。(第四十一条)第五章：附则《密码法》内容解读……《密码法》内容解读……10一是要求国家密码管理部门制定密码管理规章。(第四十二条)二是明确军队和武警部门的密码工作管理办法由中央军委制定。（第四十三条）三是明确本法的施行时间为2020年1月1日。（第四十四条）6.如何贯彻实施《密码法》？6.如何贯彻实施《密码法》？贯彻实施《密码法》1.提升安全意识：充分认识密码在网络安全中的基础作用3.建强保障体系:准确把握新形势下密码应用的紧迫要求5.顺应时代要求:强化创新驱动，提升密码高质量供给4.落实主体责任:切实履行法律法规明确的密码应用职责2.推动战略融合:紧紧围绕党和国家工作大局与总体布局6.1充分认识密码在网络安全中的基础作用6.1充分认识密码在网络安全中的基础作用利用基于密码的信任机制和完整性保护机制，可有效保障网络通信和计算资源的安全可信。利用基于密码的大规模身份管理、多方信任等手段，可助力打通协同计算、协同服务、协同数据共享等信任瓶颈，实现全网实体、业务、数据等的安全互联与信任交互。网络信任体系建设利用基于密码基础设施的网络安全防护体系，可有效适应网络安全需求的动态调整，有助于实现积极防御、动态防御、体系防御。利用基于密码的身份鉴别、数据加密、密文计算、数据脱敏等措施，可有效保障网络数据全生命周期的安全。网络与数据安全防护需求提升安全意识6.2紧紧围绕党和国家工作大局与总体布局6.2紧紧围绕党和国家工作大局与总体布局紧密围绕国家网络强国、数字中国、智慧社会，交通强国、教育强国、健康中国等重大战略，以及区域协调发展等战略布局，找准密码服务保障国家战略的需求点、发力点、支撑点。①抓住战略实施支撑点聚焦国家关键信息基础设施安全，持续推动密码在党政机关，以及金融、公共通信、交通、能源、水利、工业制造等领域基础设施和重要网络的广泛应用，健全完善密码支撑保障体系。②抓住重要领域关键点认真梳理分析不同网络系统的风险隐患和安全需求，对于承载重要业务多、涉及面广、重要数据汇集等高风险网络系统，加紧推进密码安全防护体系建设。③抓住安全隐患风险点密切跟踪数字经济、信息惠民、公共信息服务等领域发展趋势，适应教育、卫生健康、社会保障、互联网服务等领域的个人信息、商业数据、数字资产保护需求，维护保护企业、公民、法人和其他组织的合法权益。④抓住国计民生关注点0101030304040202推动战略融合6.3准确把握新形势下密码应用的紧迫要求6.3准确把握新形势下密码应用的紧迫要求①战略性：推进密码应用，是中央作出的重要决策，是《密码法》作出的明确规定，是维护国家安全、提升网络空间安全保障能力的战略性部署。④动态性：密码应用应通过定期风险评估、密码应用安全性评估等手段，持续跟踪系统安全风险水平和密码应用的有效性，适时采取措施更新密码算法、产品，必要时重新设计密码应用方案、重新建设密码应用保障体系。②体系性：推进密码应用，必须从顶层设计入手，通过自上而下的体系化设计，综合运用技术、管理、测评等手段，综合考虑物理安全、网络安全、系统安全、应用安全等不同层面，基于网络的安全需求，站在整体角度设计密码应用解决方案。战略性同步性体系性动态性建强保障体系③同步性：在网络信息系统设计之初、建设之时，就要把密码融入到网络信息系统整体架构中，同步规划、同步设计、同步建设、同步运行密码保障体系，定期进行密码应用安全性评估。6.4切实履行法律法规明确的密码应用职责6.4切实履行法律法规明确的密码应用职责④网络及信息系统主管人员：要熟悉《密码法》及相关文件，掌握密码知识与政策，做到知密码、懂密码，自觉推动密码应用和依法管理。②网络安全和信息化部门：重点是将涉及国家安全、国计民生、社会公共利益的密码产品依法列入网络关键设备和网络安全专用产品目录；协调网络安全评估、关键信息基础设施评估和密码应用安全性评估等。落实主体责任①密码管理部门：要在职权范围内履行密码监管和保障职责，确保各项制度措施落到实处。③网络运营者：要落实关键信息基础设施密码应用要求，开展密码应用安全性评估，采购涉及商用密码的网络产品和服务，可能影响国家安全的，按照规定应通过国家安全审查。密码管理部门网络运营者网络安全/信息化部门网络及信息系统主管人员6.5强化创新驱动，提升密码高质量供给6.5强化创新驱动，提升密码高质量供给顺应时代要求①以应用需求促进创新：紧紧围绕信息化发展的战略需求，加强产用对接、研用对接，在实践中检验创新成果，在应用中升级提高再创新。②以技术突破引领创新：加强密码基础理论、工程实现技术和应用研究，突破一批核心关键技术和基础共性技术，完善密码标准体系建设。③以产业生态助力创新：发挥好市场优势，打通密码创新链、应用链、价值链，推动密码产业与网络安全和信